WhatsApp Personal en el Trabajo: Riesgos RGPD para tu Empresa
Cuando un trabajador usa su móvil personal para hablar con clientes, los datos de esos clientes acaban en un dispositivo que la empresa no controla. Esto puede convertirse en una infracción del RGPD sin que nadie lo haya planeado. Te explicamos los riesgos reales y cómo gestionarlos.
Un comercial que manda el presupuesto por WhatsApp al cliente. Una recepcionista que confirma citas desde su propio teléfono. El jefe de taller que coordina reparaciones en un grupo de clientes creado desde su número personal. Escenas cotidianas en miles de empresas españolas que, vistas desde el RGPD, esconden un problema serio que muy pocos se han parado a analizar.No hablamos del uso corporativo de WhatsApp (eso lo abordamos en otro artículo), sino de algo mucho más habitual y difuso: el trabajador que usa su WhatsApp de toda la vida, el mismo con el que habla con su familia y sus amigos, para gestionar comunicaciones laborales con clientes o proveedores. ¿Qué ocurre entonces con esos datos? ¿Quién es el responsable? ¿Puede la empresa exigirlo o prohibirlo? ¿Qué pasa si ese trabajador se va a la competencia y se lleva el historial de chats?
Vamos por partes.
El problema de fondo: datos de la empresa en un dispositivo privado
Cuando un trabajador usa su WhatsApp personal para fines laborales, está produciendo lo que en protección de datos se denomina una fuga de información fuera del perímetro controlado de la empresa. Y esto tiene consecuencias directas bajo el Reglamento General de Protección de Datos (RGPD, Reglamento UE 2016/679) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Los datos que maneja ese trabajador en su teléfono personal, nombres de clientes, números de teléfono, direcciones, datos sobre pedidos, problemas de salud si es una clínica, deudas si es una gestoría, son datos personales de los que la empresa sigue siendo responsable del tratamiento. La empresa no puede escudarse en que "fue el trabajador con su móvil" si esos datos se pierden, se filtran o acaban en manos no autorizadas.
Dato clave — Artículo 5.1.f) del RGPD (principio de integridad y confidencialidad): Los datos personales deben tratarse de manera que se garantice su seguridad adecuada, incluida la protección contra su tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. Este principio no desaparece porque el tratamiento ocurra en un dispositivo privado del trabajador.
En la práctica, esto significa que si un trabajador pierde su móvil personal, si instala una aplicación maliciosa, si su cuenta de WhatsApp es hackeada o simplemente si se va de la empresa llevándose consigo años de conversaciones con clientes, la empresa tiene un problema de protección de datos real y potencialmente sancionable.
¿Qué dice WhatsApp sobre el tratamiento de datos?
WhatsApp, propiedad de Meta, almacena metadatos de las comunicaciones y, dependiendo de la configuración, también copias de seguridad de los chats en la nube (Google Drive o iCloud). Esto implica que los datos de tus clientes, sus nombres, teléfonos y el contenido de las conversaciones, pueden estar alojados en servidores de terceros sin que tu empresa haya firmado ningún contrato de encargado de tratamiento con esa plataforma.
El artículo 28 del RGPD exige que cuando un tercero trate datos personales por cuenta del responsable, exista un contrato escrito que regule ese tratamiento. WhatsApp no ofrece ese contrato para usuarios particulares. Por tanto, el uso del WhatsApp personal de un trabajador para comunicaciones de empresa es, desde el punto de vista estricto del RGPD, un tratamiento que carece de las garantías contractuales exigidas.
Los riesgos concretos para el empresario
Antes de hablar de soluciones, conviene tener claro exactamente a qué se expone una empresa cuando tolera o promueve que sus trabajadores usen WhatsApp personal para el trabajo.
1. Pérdida de control sobre los datos
Si el trabajador usa su cuenta personal, la empresa no tiene acceso a esas conversaciones. No puede auditarlas, no puede borrarlas si un cliente ejerce su derecho de supresión (artículo 17 RGPD), no puede recuperarlas si hay una disputa legal y no puede garantizar que no han sido compartidas con terceros. El empresario ha perdido el control sobre datos de los que sigue siendo responsable.
2. Riesgo al finalizar la relación laboral
Este es el escenario que más preocupa a los empresarios cuando se lo explican. Cuando un trabajador deja la empresa, se lleva consigo su teléfono y, con él, todo el historial de chats con los clientes. Puede llevárselo a la competencia directa. Puede tener listados de clientes, sus necesidades, sus presupuestos, sus quejas. Y la empresa, legalmente, tiene pocas herramientas para impedirlo porque ese teléfono es propiedad del trabajador.
3. Acceso de familiares o terceros al contenido
Un teléfono personal sin PIN, prestado a un familiar, reparado en un taller, conectado a una red wifi pública sin cifrado... Las posibilidades de que un tercero acceda a conversaciones con datos de clientes son mucho mayores en un dispositivo personal que en uno corporativo con medidas de seguridad gestionadas por la empresa.
4. Copias de seguridad en la nube sin control
Si el trabajador tiene activada la copia de seguridad de WhatsApp en Google Drive o iCloud con su cuenta personal, los chats de trabajo se están guardando en plataformas de terceros sin ningún contrato que regule ese tratamiento. Esto es especialmente sensible si la empresa maneja datos de categorías especiales (salud, datos económicos detallados, menores).
⚠ Riesgo de sanción real: La Agencia Española de Protección de Datos (AEPD) ha sancionado a empresas por no implementar medidas técnicas y organizativas adecuadas para proteger los datos que tratan sus trabajadores. Las multas por incumplimiento del principio de integridad y confidencialidad (artículo 5.1.f RGPD) pueden alcanzar los 10 millones de euros o el 2% de la facturación global anual, según el artículo 83.4 del RGPD. Para una pyme esto es una cantidad que puede hundir el negocio.
¿Puede el empresario prohibir el uso de WhatsApp personal para el trabajo?
Sí. El empresario tiene no solo el derecho, sino prácticamente la obligación, derivada de sus responsabilidades como responsable del tratamiento bajo el RGPD, de establecer una política clara sobre el uso de herramientas de comunicación con datos de clientes.
Esto incluye:
- Prohibir expresamente el uso de cuentas personales de mensajería para comunicaciones laborales con clientes o proveedores.
- Establecer qué herramientas están autorizadas y cuáles no.
- Informar a los trabajadores de estas normas de forma documentada (mediante una política de uso de dispositivos o una cláusula en el contrato o en el reglamento interno).
- Recoger el acuse de recibo de esas normas por parte de cada trabajador.
La LOPDGDD, en su artículo 87, reconoce el derecho de los trabajadores a la intimidad respecto al uso de dispositivos digitales en el ámbito laboral, pero también establece que el empleador puede regular ese uso mediante normas de utilización que los trabajadores deben conocer. La clave está en que esas normas deben estar escritas, comunicadas y accesibles.
¿Qué no puede exigir el empresario?
Aquí viene el equilibrio que todo empresario debe entender. No todo vale. Si el trabajador usa su propio teléfono, hay límites que el empresario no puede cruzar sin vulnerar derechos fundamentales del trabajador.
No puede acceder al WhatsApp personal del trabajador
El teléfono personal es propiedad del trabajador y las conversaciones en su WhatsApp personal están protegidas por el derecho al secreto de las comunicaciones (artículo 18.3 de la Constitución Española) y el derecho a la intimidad. El empresario no puede, bajo ningún pretexto laboral, exigir acceso a los chats personales del trabajador, aunque contengan conversaciones laborales.
No puede obligar a usar el móvil personal para el trabajo sin compensación
Si la empresa no proporciona un dispositivo corporativo pero espera que el trabajador use el suyo, esto puede generar obligaciones laborales adicionales. El uso de recursos personales para fines laborales tiene implicaciones en el ámbito del derecho del trabajo que conviene consultar con un asesor laboral.
No puede instalar aplicaciones de control en el teléfono personal
Algunos empresarios han intentado instalar software de monitorización en los teléfonos de sus trabajadores. Si el teléfono es personal, esto es una invasión directa de la privacidad del trabajador y puede constituir un tratamiento de datos ilícito.
El modelo BYOD y cómo gestionarlo correctamente
El escenario en el que los trabajadores usan sus propios dispositivos para el trabajo tiene nombre: BYOD, Bring Your Own Device (trae tu propio dispositivo). Es una práctica extendida, especialmente en PYMEs que no quieren asumir el coste de teléfonos corporativos para todos, pero que exige una gestión mínima para no convertirse en una brecha de seguridad.
Si tu empresa tiene trabajadores en situación BYOD, lo mínimo que deberías tener documentado es:
- Una política BYOD que especifique qué aplicaciones pueden usarse para comunicaciones laborales, cómo deben gestionarse los datos cuando el trabajador abandona la empresa y qué medidas de seguridad mínimas debe tener el dispositivo (PIN, cifrado, bloqueo automático).
- Procedimiento de baja: qué ocurre con los contactos y conversaciones laborales almacenadas en el dispositivo personal cuando termina la relación laboral. Esto debe estar previsto, no gestionarse de urgencia el último día.
- Formación básica al trabajador sobre qué datos puede y no puede compartir por mensajería, especialmente si maneja datos sensibles.
Alternativas más seguras al WhatsApp personal
La buena noticia es que existen herramientas que cubren la necesidad de comunicación ágil con clientes sin los problemas de privacidad del WhatsApp personal. Aquí van las principales opciones ordenadas de menor a mayor control corporativo:
WhatsApp Business (opción mínima)
WhatsApp Business permite crear una cuenta vinculada a un número de teléfono diferente al personal, con un perfil de empresa. Las ventajas frente al WhatsApp personal son claras: se puede instalar en el mismo teléfono que el WhatsApp personal sin mezclarlos, permite perfiles de empresa con horario, catálogo y respuestas automáticas, y si el trabajador deja la empresa, el número de empresa puede transferirse o darse de baja sin que el trabajador se lleve el historial.
Sin embargo, WhatsApp Business sigue siendo propiedad de Meta y no resuelve el problema del contrato de encargado del tratamiento. Es una mejora organizativa, no una solución de cumplimiento total.
Signal
Signal es una aplicación de mensajería cifrada de extremo a extremo gestionada por una organización sin ánimo de lucro. Tiene mejor reputación en términos de privacidad que WhatsApp porque recopila muy pocos metadatos. No resuelve todos los problemas corporativos (sigue siendo una app en un teléfono personal) pero es una alternativa más respetuosa con la privacidad para comunicaciones sensibles.
Microsoft Teams o equivalentes corporativos
Si la empresa ya utiliza Microsoft 365, Teams es la herramienta natural para mensajería instantánea. El empresario tiene control total: puede auditar conversaciones, revocar accesos cuando un trabajador se va y firmar un contrato de encargado del tratamiento con Microsoft que cumple con el RGPD. Lo mismo aplica para Google Workspace con Google Chat, Slack con plan Business+ o Zoom Team Chat.
Sistemas de CRM con mensajería integrada
Para empresas que necesitan comunicarse mucho con clientes, lo ideal es integrar la comunicación en un CRM (Customer Relationship Management). Herramientas como HubSpot, Zoho CRM o soluciones más específicas permiten registrar todas las comunicaciones con clientes en un sistema centralizado, accesible por la empresa y no atado al teléfono personal de ningún trabajador.
Recomendación práctica: Si tienes menos de 10 trabajadores y no puedes asumir herramientas corporativas complejas, la solución mínima viable es: un número de teléfono de empresa (puede ser una SIM adicional de bajo coste) con WhatsApp Business instalado, una política escrita de uso que los trabajadores firmen, y un procedimiento claro de qué pasa con esos contactos y chats cuando alguien deja la empresa. Con eso ya reduces enormemente el riesgo.
Lo que debes documentar como empresa (y lo que te pide la AEPD)
En caso de inspección o denuncia, la AEPD no solo va a preguntar qué herramientas usas. Va a preguntar si tienes documentado cómo las usas y si tus trabajadores lo saben. Esto se traduce en contar con:
- Registro de actividades de tratamiento (artículo 30 RGPD) donde figure el tratamiento de datos de clientes a través de comunicaciones, con la herramienta utilizada y las medidas de seguridad aplicadas.
- Política de uso de dispositivos y herramientas de comunicación, firmada por los trabajadores.
- Contratos o acuerdos de encargado del tratamiento con las plataformas que procesan datos de tus clientes.
- Procedimiento de gestión de incidencias para saber qué hacer si un teléfono se pierde o si un trabajador sale de la empresa con datos.
Nada de esto requiere ser una gran empresa. Una PYME de cinco personas puede tener esto en orden con un par de documentos bien redactados y una sesión de formación breve con el equipo.
Resumen: lo que deberías hacer esta semana
Si has llegado hasta aquí y te has reconocido en alguno de los escenarios descritos, aquí tienes un plan de acción inmediato:
- Analiza la situación actual: ¿Cuántos trabajadores usan WhatsApp personal para comunicarse con clientes? ¿Qué tipo de datos manejan en esas conversaciones?
- Decide una herramienta autorizada: WhatsApp Business con número de empresa, Teams, Slack o cualquier alternativa que puedas controlar. Lo importante es que no sea la cuenta personal del trabajador.
- Redacta una política mínima: Una página que diga qué herramientas están permitidas, cuáles no, y qué pasa con los datos al finalizar el contrato. Que la firmen todos.
- Actualiza tu documentación RGPD: El registro de actividades y, si usas un encargado externo para la gestión de protección de datos, comunícale el cambio.
- Forma a tus trabajadores: Una sesión de 30 minutos explicando por qué se hace el cambio y cómo usar la nueva herramienta es suficiente. Los trabajadores que entienden el porqué cumplen mejor que los que solo reciben una orden.
No es necesario convertirse en experto en RGPD para hacer esto bien. Pero sí es necesario dejar de ignorar el problema, porque el riesgo existe desde el momento en que el primer cliente envía su teléfono a tu trabajador por WhatsApp y ese trabajador le responde desde su cuenta personal.
¿Tus trabajadores usan WhatsApp personal para hablar con clientes? Pongamos orden antes de que sea un problema.
En ConfidencialyDat llevamos años ayudando a empresas y autónomos de Murcia a cumplir con el RGPD de forma sencilla y sin tecnicismos. Solicita tu presupuesto personalizado sin ningún compromiso.
📞 633 705 235 · ✉ confidencialydat@veltaris.es